LastPass 사용자 노리는 정교한 피싱 공격 주의보: 사망 관련 유산 요청 사칭

최근 LastPass 사용자들을 대상으로 매우 정교한 피싱 공격이 발생하고 있어 주의가 요구됩니다. 공격자들은 사용자가 사망했다는 허위 정보를 이용하여 LastPass 계정의 마스터 비밀번호를 탈취하려는 시도를 하고 있습니다. 특히 암호화폐 지갑 접근을 노리는 것으로 보여 더욱 심각한 피해가 우려됩니다.

피싱 공격의 전개 방식

이번 피싱 공격은 "Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)"라는 제목의 이메일로 시작됩니다. 이메일은 마치 사용자가 사망하여 가족 구성원이 LastPass 계정에 접근하려 한다는 내용을 담고 있습니다. 만약 사용자가 살아있다면 'Stop'이라는 답장을 보내도록 유도하며, 가짜 상담원 정보와 사건 번호 등을 제시하여 신뢰도를 높입니다. 이메일에는 요청 취소 링크가 포함되어 있지만, 실제로는 공격자가 관리하는 피싱 사이트로 연결되어 LastPass 마스터 비밀번호 입력을 요구합니다.

더욱 교묘해진 수법: 전화 공격 병행

일부 경우에는 공격자가 LastPass를 사칭하여 직접 전화를 걸어 피싱 사이트에 접속하여 마스터 비밀번호를 입력하도록 유도하기도 합니다. LastPass는 절대로 마스터 비밀번호를 요구하지 않으므로, 이러한 전화는 100% 피싱 시도입니다. 이러한 수법은 사용자들의 경계심을 더욱 낮추고, 비밀번호를 탈취하려는 목적을 가지고 있습니다.

LastPass의 공식 경고 및 대응

LastPass는 이러한 피싱 공격을 인지하고 사용자들에게 공식 경고를 발령했습니다. LastPass는 절대로 마스터 비밀번호를 요구하지 않으며, 의심스러운 이메일이나 전화는 즉시 LastPass에 신고해 달라고 당부했습니다. 또한, LastPass는 초기 피싱 사이트를 폐쇄하는 등 적극적으로 대응하고 있습니다.

보안 전문가들의 조언

보안 전문가들은 이러한 피싱 공격을 예방하기 위해 다음과 같은 조치를 권고합니다.
* **예상치 못한 요청에 신중하게 대응:** 특히 이전에 경험하지 못했던 요청은 반드시 신뢰할 수 있는 방법으로 재확인해야 합니다.
* **다단계 인증(MFA) 활성화:** LastPass 계정에 다단계 인증을 활성화하여 비밀번호가 유출되더라도 추가적인 보안 계층을 확보해야 합니다.
* **직원 교육 강화:** 기업의 IT 관리자는 직원들에게 피싱 공격의 위험성을 알리고, 의심스러운 이메일이나 전화에 대한 대응 요령을 교육해야 합니다. LastPass 블로그를 링크하여 최신 정보를 공유하는 것도 좋은 방법입니다.

CryptoChameleon 그룹의 연루

이번 피싱 공격은 'CryptoChameleon'으로 알려진 사이버 범죄 그룹과 관련이 있는 것으로 추정됩니다. 이 그룹은 암호화폐 거래소와 사용자를 대상으로 암호화폐를 탈취하는 것을 목표로 하고 있으며, 이전에도 LastPass를 피싱 공격에 이용한 전력이 있습니다. LastPass는 공격에 사용된 IP 주소와 URL 목록을 공개하고, 사용자들이 이러한 정보를 참고하여 피싱 공격을 식별하도록 돕고 있습니다.

결론

LastPass 사용자들은 이번 피싱 공격에 대한 경각심을 높이고, 의심스러운 이메일이나 전화에 주의해야 합니다. LastPass는 절대로 마스터 비밀번호를 요구하지 않으므로, 이러한 요청은 100% 피싱 시도입니다. 다단계 인증을 활성화하고, 의심스러운 이메일은 즉시 LastPass에 신고하여 피해를 예방해야 합니다. 기업의 IT 관리자는 직원 교육을 강화하고, LastPass 블로그를 통해 최신 정보를 공유하는 것이 중요합니다.